CYBER-CRIME IN CAMPO INTERNAZIONALE

Transcript

1 CYBER-CRIME IN CAMPO INTERNAZIONALE Alessandro Scartezzini Laboratorio Criminalità Informatica Data Service Divisione Sicurezza Sicurezza Informatica Firenze, 12,13,14, Ottobre 2001 Con la collaborazione del CLUSIT

2 Indice dei contenuti Cyber-crime: lo scenario internazionale dei Computer-related related crimes Due categorie criminologiche Chi è in grado di stimare la dimensione del fenomeno? I rimedi: l approccio USA I rimedi: l approccio europeo Firma digitale: un passo nel buio o un incremento della sicurezza? Sicurezza pubblica e privata: due mondi che non comunicano? Conclusioni

3 Cyber-crime: lo scenario internazionale dei Computer-Related Crimes (CRCs) Il problema cyber-crime crime dopo New York: la sicurezza come questione critica anche nell IT gli attacchi terroristici non colpiscono le infrastrutture IT ma ne mettono a nudo le vulnerabilità il problema dei CRCs va oltre il cyber-vandalismo il cyber-laundering diventa realtà il furto di identità è il nuovo incubo americano La risposta regolativa internazionale: il rischio di non differenziare le sanzioni la questione sicurezza vs. privacy la questione sicurezza vs. sviluppo dell E-business

4 Due categorie criminologiche Non esiste ancora una definizione internazionalmente accettata di CRCs. Una definizione operativa: tutti i crimini commessi attraverso il fondamentale uso di tecnologie informatiche o nei quali le tecnologie sono l oggetto stesso dei crimini. Crimine informatico: il fattore tecnologico rappresenta l oggetto stesso dell attacco criminale le strategie criminali sono spesso innovative la classificazione operata dal CERT Crimine attraverso l uso strumentale di computer o Internet: il fattore tecnologico è strumentale ma caratterizzante gli schemi criminali sono tradizionali l uso di tecnologie amplifica o trasforma l esito e la pericolositàità

5 La classificazione del CERT

6 La classificazione dei CRCs attraverso l uso strumentale di tecnologie ICT I reati tradizionali che si rinnovano con l utilizzo di tecnologie ITC: Frodi Furti Violazioni dei diritti d autore Traffico di materiale pedo-pornograficopornografico Molestie Estorsioni Riciclaggio di proventi illeciti (Cyber-laundering) Traffico di sostanze illecite

7 Chi è in grado di stimare la dimensione del fenomeno? I risultati salienti della ricerca CSI/FBI: furto di informazioni e frodi finanziarie crescita degli attacchi da Internet aumento della percentuale delle denunce agli organi di polizia 91% riporta abusi nell utilizzo delle risorse da parte dei dipendentidenti Le ragioni per cui il sondaggio CSI/FBI non è rappresentativo della realtà italiana: il campione il diverso livello tecnologico le modalità di somministrazione dei questionari Le altre indagini: PricewaterhouseCoopers FBI e il National White Collar Crime Center

8 Chi è in grado di stimare la dimensione del fenomeno? PricewaterhouseCoopers $1.39 miliardi di mancati guadagni a causa di violazioni della sicurezza nell anno 2000 crescita degli attacchi di Denial of Service FBI e il National White Collar Crime Center oltre denunce nei primi 6 mesi di operatività del servizio meno del 30% di queste sono state riportate agli organi istituzionali di polizia in testa le frodi attraverso le aste online

9 I casi risolti contrastano con le ricerche Almeno 10 dei maggiori casi risolti di computer crime riportati dal DoJ americano riportano il coinvolgimento di dipendenti Le perdite maggiori sono riportate nel caso di frodi interne La percentuale di denuncia è inferiore per gli attacchi dall interno che dall esterno Nella maggior parte dei casi il reato non viene nemmeno scoperto

10 I rimedi: l approccio USA Presidential Decision Directive 63 - Protecting the Nation's Critical Infrastructures The National Infrastructure Protection Center (NIPC) Information Sharing and Analysis Center (ISAC) Iniziative ABA e-bank Un network di agenzie pubbliche impegnate nella lotta al cyber- crime (SEC, FBI, NSA, The National White Collar Crime Center, ecc.)

11 Le iniziative europee Bozza finale di Convenzione sul cyber-crime crime ( Direttiva 2000/31/CE del Parlamento Europeo e del Consiglio dell 8 giugno 2000 relativa ad alcuni aspetti giuridici del commercio elettronico: assenza autorizzazione preventiva informazioni da fornire spamming / Contratti per via elettronica sollevamento dalla responsabilità per gli ISP / Codici di condotta cooperazione Internazionale Decisione n. 276/1999/CE del Parlamento Europeo e del Consiglio del 25 gennaio 1999 piano di azione comunitario per promuovere l'uso sicuro di Internet net attraverso la lotta alle informazioni di contenuto illegale e nocivo diffuse attraverso le reti globali

12 Firma digitale: un passo nel buio o un incremento della sicurezza? I sistemi di PKI giocano un ruolo fondamentale per: risolvere il problema dell autenticazione prevenire diverse tipologie di Computer-related related crimes ridurre le opportunità di comportamenti anti aziendali e semplificare i processi organizzativi Possono viceversa accrescere esponenzialmente le vulnerabilità nel caso: non si rispettino rigidamente i protocolli di sicurezza non ci sia una definitiva crescita dei dispositivi connessi di autenticazione (smart card e dispositivi di riconoscimento biometrico) non si integrino adeguatamente alle applicazioni esistenti

13 Sicurezza pubblica e privata: due mondi che non comunicano? Non solo sono due mondi che comunicano poco ma la situazione è aggravata a causa di: una cultura della sicurezza nel paese molto ridotta un ritardo istituzionale nell adeguamento della pubblica sicurezza za alle nuove tecnologie i ridotti poteri di alcune autorità di vigilanza del mercato la scarsa competizione nel mercato della fiducia un ritardo delle Associazioni dei Consumatori Le potenzialità di una strategia integrata: la sicurezza: un requisito trasversale la collaborazione fra le diverse autorità di controllo attraverso tecnologie telematiche e di groupware la costruzione di basi di conoscenza comune

14 Conclusioni Come recuperare il tempo perduto valorizzare il ritardo tecnologico per introdurre l elemento sicurezza in tutte le nuove tecnologie trasformare alcune normative sugli obblighi di misure minime di sicurezza da semplici adempimenti burocratici ad occasioni di innovazione e crescita della sicurezza proseguire la strada verso la standardizzazione e la certificazione di prodotti, servizi e imprese che operano nel campo della sicurezza accrescere la cultura e la formazione a partire dall educazione di base

15 CYBER-CRIME IN CAMPO INTERNAZIONALE Alessandro Scartezzini Laboratorio Criminalità Informatica Data Service Divisione Sicurezza Sicurezza Informatica Con la collaborazione del CLUSIT